Розробники NPM
Шкідлива активність була спрямована на компрометацію користувачів Windows. Назовні передавалися такі файли, що включають БД з історією навігації в браузерах на основі двигуна Chromium і клієнта Discord (передбачається, що модуль був блокований на стадії збору даних про користувачів і більш небезпечний шкідливий код міг би бути доставлений в одному з оновлень):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Джерело: opennet.ru